A licença do Vista ou “seu computador agora é meu”

Andei lendo sobre o EULA (End User License Agreement ou Termo de Licença para Usuário Final) do Windows Vista [outra análise] [e aqui para advogados] e confesso que se em algum momento eu tive a menor vontade de instalar o mesmo, nem que fosse apenas para testar, essa vontade passou nas primeiras linhas. É praticamente um tratado de Treacherous Computing [pequena animação sobre como Trusted Computing vira Treacherous Computing].

Só para dar um exemplo de coisas que estão no EULA:

• A Microsoft se reserva o direito de checar periodicamente a legitimidade do software e desabilitar partes do sistema caso isso falhe. “Falhar” inclui não conseguir se comunicar com a Microsoft, aparentemente.
• O Vista inclui o Windows Defender, um anti-virus/spyware/firewall que pode inclusive “desinstalar programas considerados perigosos”. O “perigosos” é definido pela Microsoft, não pelo usuário, e esse processo também acontece sem aviso, e a Microsoft não se importa com programas não funcionando por causa disso.
• A Microsoft pede uma revalidação quando você troca algumas partes do Hardware. E trocar de máquina, só uma vez, depois disso já era.
• A Home Edition não pode ser rodada em uma Virtual Machine, ponto final. As versões Business e Ultimate podem rodar em VM (e são substancialmente mais caras) mas não podem executar nenhum conteúdo protegido como áudio e vídeo enquanto virtualizados.

Isso sem entrar na parte de degradação de qualidade de vídeo e conteúdo de alta qualidade (HDCP), DRM, drivers que tem de ser assinados usando uma tecnologia absurda. Isso só pode ser uma empresa que não tem o menor escrúpulo em ignorar completamente o usuário, o mercado e os desenvolvedores.

E isso tudo exatamente pelo quê? Se ainda fosse por alguma grande mudança de paradigma ou mais performance, mas o OS X ganha de longe, e sobre os efeitos visuais, o Linux está bem a frente, além de ser livre, estável, respeitar o usuário e já ser simples de usar como qualquer outro sistema operacional.

Ou seja: Windows Vista? Não, obrigado.
A máquina é minha, não do sistema operacional.

tags: vista, linux, eula, treacherous computing

Usando o Tor e Foxy Proxy para acessar o YouTube

E então. Pela segunda vez tenho a impressão de que o Brasil está degringolando para um autoritarismo sem pé nem cabeça na internet.
E o pior, desta vez nem é o governo ou grandes corporações como foi da última vez, agora é um “empresário” com advogados demais e inteligência de menos acompanhado da sua namoradinha ofendida que sequestram o acesso ao YouTube de grande parte do país simplesmente porque, literamente, não conseguiram pensar com a cabeça de cima…

Mas felizmente, as pessoas que pensam já tinham uma solução pra isso há algum tempo. A EFF já previa há algum tempo casos como estes e principalmente a necessidade de uma internet anônima. Para isso eles criaram o projeto Tor (The Onion Routing, ou o Roteamento Cebola). Sem entrar em muitos detalhes, o Tor faz com que sua conexão seja feita passando por vários caminhos alternativos pelo mundo inteiro, efetivamente transformando sua conexão numa conexão irreconhecível por IP. Usando o Tor mais uma ferramentinha para o Firefox, acessamos o YouTube numa boa e podemos voltar a assistir ao que importa.

Porque, veja bem, eu nunca me interessei em ficar assistindo ciclicamente o vídeo da supracitada modelo e seu namorado com priapismo… Eu uso o YouTube basicamente para assistir séries famosas como “Ask a Ninja” ou diversos outros vídeos, dos engraçados aos mini-programas, que existem na comunidade. Mas obviamente os responsáveis pelo bloqueio não estão nem aí com isso. Então, sem mais delongas:

1. Baixe o Tor:
   • Se você usa Linux Debian ou Ubuntu, basta usar o aptitude: aptitude install tor
   • Se você usa algum outro Linux, imagino que o gerenciador de pacotes ou similar de sua distro tenha o pacote tor pronto para ser instalado, é bem popular.
   • Se você usa windows, vá no site do tor e escolha o pacote para baixar. Eu sugiro o “Instável” que vem com o Vidalia. O Vidalia é uma interface gráfica para o Tor para windows.
2. Instale o Tor:
   • No Linux, depois dos passos acima você deve estar conectado e funcionando. Caso seja necessário (seu firewall é linha dura, sua rede tem alguma diferença), dê uma lida no man tor e altere o torrc.
   • No windows, alguns programinhas vão estar rodando na sua systray ali do lado do relógio. O realmente importante é o Tor. Pode ser que tenha um tal de Privoxy também. Ele é interessante para várias coisas, mas eu não vou usá-lo neste caso porque o objetivo não é anonimato, é só acessar um site. Se a “cebolinha” do Tor ficou verde, você está na rede.
3. Dê uma checada:
   • No Linux: torctl status vai te dar uma visão geral da conexão.
     Existem vários pacotes para fornecer graficamente o status do Tor,
     escolha o que mais lhe agrada (existe o Vidalia para Linux, usa QT
     então o pessoal do GNOME como eu torce o nariz )
   • No Windows: Use o menu do botão direito em cima da “cebolinha” para dar uma olhada
     no log de conexão e no mapa de servidores por onde sua conexão vai
     passar, é divertido. Se quiser ser simpático e tiver uma boa conexão,
     marque a opção para ser um servidor Tor.
4. Instale o FoxyProxy:
   • Vá na página do Addon FoxyProxy e instale o addon seguindo os meios normais. Eu não preciso dizer como fazer isso, certo?
   • O Firefox vai pedir para reiniciar. Quando ele voltar, vai abrir um assistente para configurar o Tor. Use as seguintes respostas…
     Deseja configurar para usar o Tor? Sim.
     Com ou Sem Privoxy? Sem.
     Porta do Tor. Deixe a padrão e clique Ok.
     DNS através do Tor? Sim.
   • Vai abrir uma janela com algumas opções. Nesta janela criamos uma “regra” para redirecionar o tráfego do site bloqueado pelo Tor, enquanto o resto passa pelo nosso local normal. Faça o seguinte:
     • Clique na entrada “Mail do Google” na lista e peça “Excluir Seleção”.
     • Clique “Adicionar Novo Padrão”.
     • Preencha…
       Nome: YouTube
       Endereço ou Padrão: *youtube.com/*
       Marque “Whitelist”
       Marque “Curingas”
     • Clique Ok.
   • Se você não usa normalmente um proxy para se conectar a internet, está tudo funcionando. Caso contrário, você tem de abrir o menu de configuração do FoxyProxy e configurar o proxy “Default” dele para ser o seu proxy normal de conexão.
5. Teste. Navegue.
6. Ao final, a situação deve ser a seguinte:
   • Requisições para qualquer coisa no YouTube devem usar o Tor (que deve estar rodando na sua máquina) para serem completadas.
   • Requisições para outros sites vão passar pelo seu proxy normal ou pela sua conexão sem proxy.

Apenas um detalhe: por mais que eu não concorde com o bloqueio, foi uma ordem judicial que obrigou o mesmo. A ordem judicial foi, aparentemente, mal elaborada e acabou bloqueando o site inteiro, enquanto deveria filtrar apenas o vídeo da infeliz modelo. Mas, de qualquer forma, usem o Tor da forma acima sabendo que atravessar este bloqueio pode ser um crime ou na melhor das hipóteses uma desobediência.

Eu acho que precisamos realmente de uma EFF. Continuo achando. Talvez eu monte uma.

E no mais, cito o A Declaration of Independence of Cyberspace:

In China, Germany, France, Russia, Singapore,
Italy and the United States, you are trying to ward off the virus of
liberty by erecting guard posts at the frontiers of Cyberspace. These
may keep out the contagion for a small time, but they will not work in
a world that will soon be blanketed in bit-bearing media.

Ou, tradução livre:

Na China, Alemanha, França, Russia, Singapura, Itália e Estados Unidos, vocês estão tentando combater o vírus da liberdade construindo guaritas nas fronteiras do Cyberspace. Estas podem manter o contágio longe algum tempo, mas elas não vão funcionar em um mundo que em breve vai ser coberto em bits.

coredump desligando.

tags: tor, eff, youtube, proxy

MTV Overdrive e o “Não, obrigado”

Bom…

Estava tentando achar um clipe no mtvoverdrive.com.br e resolvi fazer uma busca pelo meu amigo Nick Cave. Achei alguns clipes e resolvi assistir um deles que eu não via a algum tempo. Ah, pra começar, tive de usar o Internet Explorer, porque ele queria instalar um plugin ActiveX para Firefox. Tá bom que eu vou infectar meu Firefox (browser pra seres humanos) com essa porcaria. Peguei o esquecido iexplore (browser retardo) para poder ver o site.

Qual não foi a minha surpresa ao ver a seguinte telinha enquanto tentava ver o clip:

Um clique no Learn More explica que na verdade, é necessário instalar um DRM básico, onde a MS tenta explicar de uma forma não muito ofensiva que as informações coletadas pelo site podem ser utilizadas da forma que o site bem entender.

Como eu não concordo com DRM e acho que minha privacidade vale mais do que isso, fui procurar o vídeo em algum sistema menos debilóide, como o YouTube ou IFilm.

tsc tsc.

intel

Technorati Tags: mtv, drm

Privacidade no Windows usando GPG

Então…

Acho que já comentei que meu medo com relação as ações arbitrárias contra a privacidade no Brasil começam a aumentar. Por um lado, eu estou me especializando em segurança e entendo a necessidade, por outro eu também sou um usuário e sei dos abusos que podem ser feitos no tocante a privacidade e ao direito individual de cada um no uso da internet. Como muitos sabem, meu CPF foi pego aqui mesmo no site por causa do meu antigo currículo e atualmente eu vivo tendo problemas com roubo de identidade…

O que me levou a escrever um pequeno guia de privacidade para usuários de windows. Porquê windows? Pq é um sistema operacional que por natureza falha em implementar alguns controles que no unix nós temos como garantidos, como a segurança de um home dir criptografado e por aí vai. Além disso, o guia usa GPG que é um padrão aberto e cross-platform, então os dois mundos se beneficiam de alguma forma.

Lembrem-se sempre do Cypherpunk Manifesto:

A privacidade é necessária para uma sociedade aberta na era eletrônica. Privacidade não é segredo. Um assunto privado é um assunto que alguém não quer que o mundo inteiro saiba, mas um assunto secreto é algo que alguém quer que ninguém saiba. Privacidade é o poder de seletivamente revelar alguém para o mundo.

Primeiramente… Um pequeno conceito sobre GPG e criptografia assimétrica em geral, meio técnico mas interessante como pano de fundo:

O GPG (GNU Privacy Guard) é um programa que implementa o padrão OpenPGP. Basicamente, são algoritmos e formas de criptografia, ou seja, a arte de embaralhar dados. Obviamente todo mundo já embaralhou dados, nem que seja usando a língua do P ou com aquelas brincadeiras de zenit-polar, mas neste caso estamos falando de embaralhar dados de uma forma que demoraria séculos para tentar adivinhar o que originalmente estava representado ou escrito naqueles dados.
A Criptografia pode ser simétrica ou assimétrica. A simétrica usa uma mesma senha em todos os lados da transação, enquanto a assimétrica usa senhas diferentes em cada ponta. A criptografia assimétrica é mais cara do ponto de vista de processamento mas é mais segura e prática para transações online e grandes redes onde várias pessoas precisam trocar dados criptografados. Quando você acessa um banco ou loja online e aquele cadeado aparece na barra do browser indicando conexão segura, você está usando um misto de criptografia simétrica e assimétrica, para garantir a conexão.
Mais detalhes sobre criptografia e os inevitáveis exemplos com os proverbiais Alice e Bob podem ser achados na internet, como aqui (em português) e aqui (wikipedia em inglês).

Lembrete: Neste artigo, PGP e GPG vão ser usados como sinônimos, mesmo não sendo exatamente a mesma coisa. Existe bastante literatura sobre a diferença entre PGP, OpenPGP e etc. na internet.

Começando. Vá até http://www.gpg4win.org/ e baixe o pacote de programas para windows. É uma mão na roda porque já vem tudo resolvido e pronto pra instalar, sem precisar correr atrás de sites diferentes pra cada programa. Existe uma versão com manuais e uma versão sem manuais, vai a gosto do freguês. Instale com o tradicional next-next-finish. Prestem atenção ao instalar, se você usa outlook provavelmente vai se interessar pelo plugin que eu não instalei na imagem abaixo. Eu uso Mozilla Thunderbird então…

Depois de instalado você vai ter uma série de programas no seu Menu Iniciar. Um deles é o WinPT, diminutivo para Windows Privacy Tray, um aplicativo bem legalzinho para gerenciar o GPG. inicie o WinPT e essa tela deve aparecer:

Que é exatamente a WinPT First Start. Se é sua primeira vez instalando ou pelo menos testando chaves GPG, a primeira opção é a sua escolha.
O que vamos fazer é gerar um par de chaves para você. Se você foi um autêntico hacker e leu os links sobre criptografia por pura curiosidade, já sabe disso, mas se não:

GPG utiliza a chamada infraestrutura de chaves públicas/privadas. Basicamente, cada sujeito da criptografia tem duas chaves: a chave pública é distribuida e acessível de forma simples ou facilitada. A chave privada é deveras importante e deve ser protegida e nunca perdida, estraviada ou comprometida de qualquer forma (e normalmente requer uma senha para ser utilizada). Quando uma outra ponta qualquer da transação deseja enviar dados criptografados para o sujeito ela usa a parte pública de sua chave para criptografar os dados. Somente a chave privada correspodente pode decifrar estes dados, ou seja, de posse da chave pública tudo que eu posso fazer é criptografar os dados para que o dono da chave privada correspondente consiga acessá-los/lê-los.

Continuando, a próxima tela já possui informações pessoais importantes que devem ser preenchidas corretamente:

Como dito acima, a chave pública tende a ficar num local de fácil acesso. Existem servidores especializados em guardar chaves públicas na internet, mas estes servidores dependem que os dados corretos sejam colocados na chave para que as buscas sejam frutíferas. Principalmente, se você pretende usar esta chave para proteger dados ou receber dados protegidos de pessoas de várias partes do país e do mundo, é melhor que os dados coincidam com os que estas pessoas já tem (email, nome, etc..).

Ignore a opção sobre RSA Keys e clique em Ok.

Esta vai ser a Passphrase ou frase-senha da sua chave. É como uma senha, mas ao invés de ser uma passWORD (palavra), é uma passPHRASE (frase). Use letras maiúsculas e minúsculas, espaços, sinais de pontuação e números. NÃO use símbolos especiais, acentuação e cedilhas, nem todo teclado do planeta tem estes símbolos e nem todos os sistemas operacionais entendem eles da mesma forma. Lembre-se sempre de utilizar uma senha que seja difícil de adivinhar mas fácil de lembrar, perder a senha da chave privada quer dizer perder TODOS os dados criptografados com a mesma. Da mesma forma, utilizar uma chave privada e deixar a senha anotada em algum lugar é o mesmo que não usar criptografia.

A próxima tela pede para você digitar a passphrase novamente para confirmação e finalmente o par de chaves e gerado:

Pode parecer estranho, mas mexer o mouse, digitar a esmo no teclado ou fazer o disco da máquina ler alguma coisa aumenta a velocidade do processo de criação da chave. Existe um bom motivo pra isso, tem a ver com o gerador de números aleatórios do computador. Denovo, curiosos, google.com.

Depois disso seu par de chaves está criado e o WinPT está alojado na sua systray, do lado ali do relógio. Clicando com o botão direito nele você pode abrir o Key Manager, que é esta janela:

Ai está o seu par de chaves e, a medida que você for adicionando as chaves públicas de outras pessoas, vão ser mostradas também. Clicando com o botão direito você tem várias opções, explorar é a palavra, com cuidado para não PERDER sua chave pública, por mais que seja complicado fazer isso sem uma confirmação explícita .
É interessante, assim que possível, enviar a sua chave para um servidor público, clicando com o botão direito na mesma e escolhendo Send to Keyserver. Normalmente, enviar para um dos servidores é o bastante, eles são interligados e com o tempo a chave se propaga por eles.

Outro aplicativo interessante do WinPT é o File Manager. Uma interface simpática para encriptar arquivos:

Arraste os arquivos que você deseja encriptar para dentro da janela, vá até o menu File -> Encrypt, selecione na lista quem você quer que seja capaz de decriptar os arquivos (pode ser inclusive você mesmo) e clique em Ok. O arquivo vai ser salvo no mesmo local que o arquivo de origem, com a extensão .gpg adicionada ao nome. Este arquivo é virtualmente inquebrável para os níveis comerciais de criptografia e só poderá ser aberto pela pessoa detentora da chave privada a qual foi destinado. Lembre-se que se você não se incluir na lista de chaves privadas que podem decriptar um arquivo e apagar o original, aquele arquivo está perdido para você.

A opção Wipe Original vai não só apagar o arquivo original como usar alguns métodos para garantir que mesmo ferramentas não profissionais (e até algumas profissionais) consigam ler o conteúdo do arquivo original apagado do disco. Uma opção similar está no menu File -> Wipe e File -> Wipe Free Space, a primeira apaga/wipe um determinado arquivo e a segunda realiza a operação de wipe em todo espaço livre do disco. Pode ser demorado, mas para aqueles que trabalham com documentos sensíveis é uma necessidade.

O gpg4win instala também uma extensão para o explorer que facilita muito a criptografia de arquivos, em qualquer lugar do Windows Explorer, ao se clicar com o botão direito em um arquivo, opções de criptografia estão no menu Gpgee. Elas funcionam basicamente como as opções do File Manager do WinPT, mas mais facilmente acessíveis.

Então, isso foi um rápido e geral apanhado sobre criptografia usando gpg no windows. Notem que eu não falei nada sobre ASSINATURA DIGITAL, porque não era o foco. Assim como não falei muita coisa sobre PGP em si. O objetivo aqui era demonstrar os primeiros passos para que os interessados partam daí.

Aproveitem.

intel.

Technorati Tags: crypto, pgp, security, tutorials

Tags: criptografia, pgp, gpg, segurança, tutoriais

Troca de Arquivos e MP3 no Brasil

Eis que leio nos meus RSS:

Indústria fonográfica processará piratas digitais no Brasil

E será que agora teremos uma RIAA brasileira? Estes processos abertos, são fogo de palha ou só a ponta do Iceberg? Isso me levanta várias questões…

Se vamos ter uma RIAA no Brasil, encarnada como a ABPD, que tipo de encarnação vai ser esta? Vai ser uma encarnação na forma norte americana? Ao que parece, já estamos todos sob suspeita. A campanha da associação já vai pelo mesmo molde da sua contraparte gringa: fazer download de músicas é como roubar um cd na loja. Assim, nós, usuários de qualquer sistema de P2P estamos automaticamente sob suspeita de estarmos roubando, independente do que estamos baixando e de qual a licença original do trabalho. Ou seja, P2P = Crime. Isso pode escalar para sermos processados por baixar qualquer coisa em qualquer P2P? Mesmo que seja um download perfeitamente legal como uma ISO de uma distro linux? Um CD de uma banda que disponibilizou suas músicas gratuitamente?

Por outro lado, teremos então a encarnação nacional da EFF? A Eletronic Frontier Foundation tem sido desde o início uma voz ativa contra os constantes ataques contra a privacidade e os direitos online, as vezes chegando até a soar ilegal para algumas pessoas mais puristas. Nos EUA, ela conseguiu ajudar na defesa contra acusações da RIAA e tem uma boa página de informações sobre estes casos, mas não só isso: ainda faz campanha para mostrar que o erro não está na troca de músicas ou no P2P e sim no formato de negócio e na forma que o Copyright é explorado atualmente.

Infelizmente eu sou pessimista e acho que, na verdade, teremos o pior dos dois lados. Imagino que a tal associação brasileira vá ser tão obtusa e grossa como a EUA, com grandes gravadoras financiando processos e prováveis lobbies. Além disso, todo mundo sabe que no Brasil, se gasta menos dinheiro que nos EUA para se mudar uma opinião ou para se conseguir alguns favorzinhos de certas áreas.
Do outro lado, imagino que ao contrario da EFF no Brasil teremos uma resistência feita pelo grosso do usuário-padrão-vândalo-virtual-brasileiro, provavelmente com algum argumento embasado no preço do CD e na realidade do país. Ou seja, o aborrecente de sempre. Tudo que posso esperar é que em algum lugar a galera ligada a projetos como mídia livre, Creative Commons, e mesmo as ligadas ao direito e privacidade estejam olhando por nós e pensando no bem geral.

intel.

Technorati Tags: security, eff, freedom, riaa

Blogblogs Tags: seguranca, emule, mp3, pirataria